Enclaves de SGX
La tecnología Intel SGX permite a los clientes crear enclaves que protegen los datos y los mantienen cifrados mientras la CPU los procesa.
Los enclaves son partes protegidas del procesador y la memoria del hardware. No se pueden ver los datos ni el código dentro del enclave, ni siquiera con un depurador. Si un código que no es de confianza intenta cambiar el contenido de la memoria del enclave, SGX deshabilita el entorno y deniega las operaciones. Estas funcionalidades únicas le ayudan a proteger sus secretos para que no sean accesibles sin cifrar.
Imagínese un enclave como una caja de seguridad protegida. Introduce el código y los datos cifrados dentro de la caja de seguridad. Desde fuera, no puede ver nada. Le proporciona al enclave una clave para descifrar los datos. El enclave procesa y vuelve a cifrar los datos antes de devolverlos.
La computación confidencial de Azure ofrece máquinas virtuales (VM) de la serie DCsv2 y de las series DCsv3 y DCdsv3. Estas VM ofrecen compatibilidad con Intel® Software Guard Extensions (SGX).
Cada enclave tiene una caché de página cifrada (EPC) con un tamaño establecido. La EPC determina la cantidad de memoria que puede contener un enclave. Las VM de la serie DCsv2 pueden contener hasta 168 MiB. Las VM de las series DCsv3 y DCdsv3 pueden contener hasta 256 GB para cargas de trabajo que consumen más memoria.
Desarrollo para enclaves
Puede usar varias herramientas de software para desarrollar aplicaciones que se ejecutan en enclaves. Estas herramientas le ayudan a blindar partes del código y los datos dentro del enclave. Asegúrese de que nadie externo a su entorno de confianza pueda ver o modificar los datos con estas herramientas.